Die Experten der G Data Security Labs analysiereten das Schadcode-Aufkommen des vergangenen Monats. Das Ergebnis: Die Top-3 der Schädlinge hat sich seit März 2009 nicht verändert und Trojanische Pferde konnten auch im April ihre Spitzenposition verteidigen und im Vergleich zum Vormonat sogar ausbauen. Betrug deren Anteil im März 34 Prozent, so stieg dieser im April 2009 auf 37,00 Prozent am Gesamtaufkommen neuer Schädlinge an. Downloader und Backdoors waren im April 2009 hingegen rückläufig. Der Anstieg von Trojanischen Pferden könnte nach Einschätzung der G Data Security Labs ein Indiz für den Ausbau der weltweiten Botnetz-Strukturen sein.
++ Anzahl neuer Malware-Typen im April 2009: 93785
++ Methodik:
Die Zählung basiert auf Malware mit gleichen Code-Eigenschaften, so wie sie auch bei Signaturen erfolgt. G Data zählt und kategorisiert bei dieser Methodik nicht die einzelnen schädlichen Dateien, sondern zählt die Malware-Typen, durch die viele unterschiedliche Einzeldateien als gleiche Malware erkannt werden.
++ Top 5 Malware-Kategorien:
Malware-Samples werden anhand ihres Verbreitungsmechanismus und ihrer Schadfunktion kategorisiert. Die Zahlen zeigen, wie viele neue Malwaretypen in den zugehörigen Kategorien aufgetaucht sind.
1. Trojan : 37.0% (Vormonat: 34,00 %)
Der Name Trojanisches Pferd ist angelehnt an das geschichtliche Vorbild und beschreibt ein Programm, das dem Anwender vorgibt, eine bestimmte und gewollte Funktion zu besitzen. Stattdessen oder zusätzlich dazu beinhalten Trojanische Pferde jedoch noch einen versteckten Programmteil, der unerwünschte und/oder schädliche Aktionen auf dem System ausführt ohne, dass der Benutzer dies bemerkt.
Trojanische Pferde haben keine eigene Verbreitungsroutine (im Gegensatz zu Viren oder Würmern). Sie werden per E-Mail verschickt oder lauern auf Webseiten oder in Tauschbörsen.
2. Downloader : 20.1% (Vormonat: 26,00 %)
Bei einem Downloader handelt es sich um Schadsoftware, die weitere Dateien aus dem Internet herunterlädt. Zuvor versuchen sie oft die Sicherheitseinstellungen des Systems zu reduzieren.
3. Backdoor: 16.1% (Vormonat: 14,00 %)
Backdoors öffnen eine Hintertür zum infizierten Rechner. So kann der Rechner von einem Angreifer ferngesteuert werden. Meist kann weitere Software installiert werden und der Rechner wird mit anderen Zombie-PCs in ein Botnetz integriert. Diese Zombies werden dann verwendet um Spam zu verschicken, Daten zu stehlen, und verteilte Angriffe (distributed denial of service attacks) durchzuführen.
4. Spyware: 13.6% (Vormonat: 12,6 %)
Die Kategorie "Spyware" umfasst Schadsoftware, deren Zweck darin besteht, persönliche Informationen vom System des Opfers zu stehlen. Dies beeinhaltet jegliche Art von persönlichen Daten, einschließlich Passwörtern, Bankdaten, oder sogar Logins zu Online-Spielen.
5. Adware: 5.1% (Vormonat: 7,8%)
Adware zeichnet die Aktivitäten und Prozesse auf einem Rechner wie z.B. das Surfverhalten auf. Bei passender Gelegenheit werden dann gezielte Werbebotschaften eingeblendet oder die Ergebnisse von Suchanfragen werden manipuliert, um das Opfer auf bestimmte Produkte oder Dienstleistungen aufmerksam zu machen und damit Geld zu verdienen. In den meisten Fällen erfolgt das ohne Wissen und Zustimmung durch den Nutzer.
+++ Top Five der Virus-Familien:
Anhand von Ähnlichkeiten im Programmcode wird Malware in Familien eingeteilt. Die Zahlen zeigen die produktivsten Malwarefamilien.
1. Monder : 4.9% (Vormonat: 7 %)
Die unzähligen Monder-Varianten sind Trojanische Pferde, die auf dem infizierten System Sicherheitseinstellungen manipulieren und das System somit anfällig für weitere Attacken machen können.
Zusätzlich kann eine Infektion mit Adware folgen, die unerwünschte Werbeeinblendungen auf dem infizierten System anzeigt, insbesondere für gefälschte Sicherheitssoftware. Dem Opfer wird suggeriert, dass das System auf Infektionen untersucht wird. Um diese angeblichen Infektionen zu beseitigen, wird das Opfer gedrängt, die "Vollversion" zu erwerben und dazu seine Kreditkarteninformationen auf einen speziellen Webseite
preiszugeben.
Einige Varianten laden weitere Schadsoftware herunter und übermitteln an den Angreifer Informationen über das Surfverhalten des Opfers, ohne den Anwender hierüber zu informieren.
2. Stuh: 4.2% (Vormonat: Nicht in der Top 5)
Trojanische Pferde der Stuh-Familie können sich durch Überschreiben bestimmter Bereiche des Arbeitsspeichers in laufende Prozesse einklinken.
Betroffen sind u.a. der Internet Explorer, Netzwerktreiber und auch bestimmte Prozesse der Virtualisierungs-Umgebung VMWare.
Hierdurch ist der Schädling in der Lage, den Netzwerkverkehr auf dem System zu manipulieren oder Tastatureingaben mitzuschneiden
Darüberhinaus wird der Windows Dienst „Automatische Updates“ ausgeschaltet und die Registry des Systems so verändert, dass der Schädling bei jedem Systemstart aufgerufen wird
3. Inject: 4.0% (Vormonat: Nicht in der Top 5)
Die Inject-Familie umfasst eine Vielzahl von Trojanischen Pferden, die sich in laufende Prozesse einklinken und hierdurch die Kontrolle über den jeweiligen Prozess übernehmen können.
Dies ermöglicht es dem Angreifer, die befallenen Prozesse nach Belieben in bösartiger Absicht zu manipulieren
4. Tdss: 3.6% (Vormonat: Nicht in der Top 5)
Vertreter der Familie Tdss sind unter anderem in der Lage, die DNS-Einstellungen des befallenen Systems so zu verändern, dass der gesamte Netzwerkverkehr vom Angreifer mitgelesen werden kann.
Einige Varianten sind darüberhinaus in der Lage, sich mittels Rootkit-Technologie vor der Entdeckung durch Antiviren-Programme zu verstecken.
5. Hupigon: 3.5% (Vormonat: 4,6 %)
Die Ur-Variante, Hupigon.a, schreibt bei einer Infektion des Systems die Dateien winreg.exe und notepod.exe in das Systemverzeichnis. Darüberhinaus werden in der Registry Einträge vorgenommen, die dafür sorgen, dass winreg.exe bei jedem Systemstart automatisch ausgeführt wird.
Ergänzend öffnen Mitglieder der Hupigon-Familie TCP-Ports zum Zwecke der Fernsteuerung und des Zugriffs auf das Dateisystem und ermöglichen dem Angreifer das Mitschneiden von Tastatureingaben, Einschalten der Webcam etc., um Daten vom System des Opfers zu stehlen.
++ Anzahl neuer Malware-Typen im April 2009: 93785
++ Methodik:
Die Zählung basiert auf Malware mit gleichen Code-Eigenschaften, so wie sie auch bei Signaturen erfolgt. G Data zählt und kategorisiert bei dieser Methodik nicht die einzelnen schädlichen Dateien, sondern zählt die Malware-Typen, durch die viele unterschiedliche Einzeldateien als gleiche Malware erkannt werden.
++ Top 5 Malware-Kategorien:
Malware-Samples werden anhand ihres Verbreitungsmechanismus und ihrer Schadfunktion kategorisiert. Die Zahlen zeigen, wie viele neue Malwaretypen in den zugehörigen Kategorien aufgetaucht sind.
1. Trojan : 37.0% (Vormonat: 34,00 %)
Der Name Trojanisches Pferd ist angelehnt an das geschichtliche Vorbild und beschreibt ein Programm, das dem Anwender vorgibt, eine bestimmte und gewollte Funktion zu besitzen. Stattdessen oder zusätzlich dazu beinhalten Trojanische Pferde jedoch noch einen versteckten Programmteil, der unerwünschte und/oder schädliche Aktionen auf dem System ausführt ohne, dass der Benutzer dies bemerkt.
Trojanische Pferde haben keine eigene Verbreitungsroutine (im Gegensatz zu Viren oder Würmern). Sie werden per E-Mail verschickt oder lauern auf Webseiten oder in Tauschbörsen.
2. Downloader : 20.1% (Vormonat: 26,00 %)
Bei einem Downloader handelt es sich um Schadsoftware, die weitere Dateien aus dem Internet herunterlädt. Zuvor versuchen sie oft die Sicherheitseinstellungen des Systems zu reduzieren.
3. Backdoor: 16.1% (Vormonat: 14,00 %)
Backdoors öffnen eine Hintertür zum infizierten Rechner. So kann der Rechner von einem Angreifer ferngesteuert werden. Meist kann weitere Software installiert werden und der Rechner wird mit anderen Zombie-PCs in ein Botnetz integriert. Diese Zombies werden dann verwendet um Spam zu verschicken, Daten zu stehlen, und verteilte Angriffe (distributed denial of service attacks) durchzuführen.
4. Spyware: 13.6% (Vormonat: 12,6 %)
Die Kategorie "Spyware" umfasst Schadsoftware, deren Zweck darin besteht, persönliche Informationen vom System des Opfers zu stehlen. Dies beeinhaltet jegliche Art von persönlichen Daten, einschließlich Passwörtern, Bankdaten, oder sogar Logins zu Online-Spielen.
5. Adware: 5.1% (Vormonat: 7,8%)
Adware zeichnet die Aktivitäten und Prozesse auf einem Rechner wie z.B. das Surfverhalten auf. Bei passender Gelegenheit werden dann gezielte Werbebotschaften eingeblendet oder die Ergebnisse von Suchanfragen werden manipuliert, um das Opfer auf bestimmte Produkte oder Dienstleistungen aufmerksam zu machen und damit Geld zu verdienen. In den meisten Fällen erfolgt das ohne Wissen und Zustimmung durch den Nutzer.
+++ Top Five der Virus-Familien:
Anhand von Ähnlichkeiten im Programmcode wird Malware in Familien eingeteilt. Die Zahlen zeigen die produktivsten Malwarefamilien.
1. Monder : 4.9% (Vormonat: 7 %)
Die unzähligen Monder-Varianten sind Trojanische Pferde, die auf dem infizierten System Sicherheitseinstellungen manipulieren und das System somit anfällig für weitere Attacken machen können.
Zusätzlich kann eine Infektion mit Adware folgen, die unerwünschte Werbeeinblendungen auf dem infizierten System anzeigt, insbesondere für gefälschte Sicherheitssoftware. Dem Opfer wird suggeriert, dass das System auf Infektionen untersucht wird. Um diese angeblichen Infektionen zu beseitigen, wird das Opfer gedrängt, die "Vollversion" zu erwerben und dazu seine Kreditkarteninformationen auf einen speziellen Webseite
preiszugeben.
Einige Varianten laden weitere Schadsoftware herunter und übermitteln an den Angreifer Informationen über das Surfverhalten des Opfers, ohne den Anwender hierüber zu informieren.
2. Stuh: 4.2% (Vormonat: Nicht in der Top 5)
Trojanische Pferde der Stuh-Familie können sich durch Überschreiben bestimmter Bereiche des Arbeitsspeichers in laufende Prozesse einklinken.
Betroffen sind u.a. der Internet Explorer, Netzwerktreiber und auch bestimmte Prozesse der Virtualisierungs-Umgebung VMWare.
Hierdurch ist der Schädling in der Lage, den Netzwerkverkehr auf dem System zu manipulieren oder Tastatureingaben mitzuschneiden
Darüberhinaus wird der Windows Dienst „Automatische Updates“ ausgeschaltet und die Registry des Systems so verändert, dass der Schädling bei jedem Systemstart aufgerufen wird
3. Inject: 4.0% (Vormonat: Nicht in der Top 5)
Die Inject-Familie umfasst eine Vielzahl von Trojanischen Pferden, die sich in laufende Prozesse einklinken und hierdurch die Kontrolle über den jeweiligen Prozess übernehmen können.
Dies ermöglicht es dem Angreifer, die befallenen Prozesse nach Belieben in bösartiger Absicht zu manipulieren
4. Tdss: 3.6% (Vormonat: Nicht in der Top 5)
Vertreter der Familie Tdss sind unter anderem in der Lage, die DNS-Einstellungen des befallenen Systems so zu verändern, dass der gesamte Netzwerkverkehr vom Angreifer mitgelesen werden kann.
Einige Varianten sind darüberhinaus in der Lage, sich mittels Rootkit-Technologie vor der Entdeckung durch Antiviren-Programme zu verstecken.
5. Hupigon: 3.5% (Vormonat: 4,6 %)
Die Ur-Variante, Hupigon.a, schreibt bei einer Infektion des Systems die Dateien winreg.exe und notepod.exe in das Systemverzeichnis. Darüberhinaus werden in der Registry Einträge vorgenommen, die dafür sorgen, dass winreg.exe bei jedem Systemstart automatisch ausgeführt wird.
Ergänzend öffnen Mitglieder der Hupigon-Familie TCP-Ports zum Zwecke der Fernsteuerung und des Zugriffs auf das Dateisystem und ermöglichen dem Angreifer das Mitschneiden von Tastatureingaben, Einschalten der Webcam etc., um Daten vom System des Opfers zu stehlen.
